FutureX HSMとの連携

Check Pointセキュリティゲートウェイ / ClusterXL / Scalable PlatformセキュリティグループがFutureX HSMサーバと連携するように設定するには、このワークフローを使用します。

事前準備

FutureXのベンダーはこれらのパッケージすべてを提供しています。

パッケージ

 ファイル 説明

FutureX PKCS11ライブラリ

  • fxpkcs11-windows-4.20-4afd.zip

  • fxpkcs11-redhat-4.20-4afd.tar

  • fxpkcs11-linux-4.20-4afd.tar

  • fxpkcs11-mac-4.20-4afd.tar

FutureX PKCS #11 ライブラリが含まれているコンテナです。

インストール先:

  • FutureX HSMクライアントワークステーション

  • Check Point セキュリティゲートウェイ /クラスタメンバ / Scalable Platform セキュリティグループ。

FutureX CLIユーティリティ

  • fxcl-hsm-windows-1.2.4.2-37a8.zip

  • fxcl-hsm-redhat-1.2.4.2-37a8.tar

  • fxcl-hsm-linux-1.2.4.2-37a8.tar

  • fxcl-hsm-mac-1.2.4.2-37a8.tar

  • fxcli-hsm-commands.txt

鍵や証明書を管理するための FutureX CLI Utility が含まれています。

FutureX HSMクライアントワークステーションにインストールします。

FutureX証明書

 

FutureX HSMクライアントワークステーションとFutureX HSMサーバ間の信頼のためのFutureX証明書。

設定ステップ

Check Pointセキュリティゲートウェイ / ClusterXL / Scalable PlatformセキュリティグループがFutureX HSMサーバと連携するように設定するには、このワークフローを使用します。

重要 - 以下の手順を実行する前に、FutureX 統合ガイドをお読みください。

FutureX HSMクライアントワークステーション を使用して、次のことを行います:

ステップ 手順

1

FutureX HSMクライアントワークステーションとして使用するコンピュータをインストールします。

FutureXベンダーから該当するHSMクライアントアプリケーションパッケージを入手します。

FutureX HSMクライアントワークステーションは、これらのオペレーティングシステムを実行できます(詳細は、FutureXベンダーにお問い合わせください):

  • Windows( “FXTools”パッケージをダウンロードしてインストールするには、FutureXベンダーにお問い合わせくださいFutureX portal)。

  • Red Hat Linux

  • Ubuntu Linux

  • Debian Linux

  • macOS

2

該当する FutureX PKCS #11 LibraryパッケージをFutureX HSMクライアントワークステーションに転送します。

  • Windows OSの場合:

    fxpkcs11-windows-<BUILD>.zip

  • Red Hat Linux OSの場合:

    fxpkcs11-redhat-<BUILD>.tar

  • UbuntuおよびDebian Linux OSの場合:

    fxpkcs11-linux-<BUILD>.tar

  • macOSの場合:

    fxpkcs11-mac-<BUILD>.tar

重要 - ファイルは必ずバイナリーモードで転送してください。

3

FutureX PKCS #11 Library パッケージの内容をFutureX HSMクライアントワークステーションのディレクトリに解凍します。

以下の説明ではこのディレクトリを次のように表示します:<PKCS#11 Dir>

重要:

  • FutureX PKCS #11 Libraryパッケージ(fxpkcs11-<OS>-<BUILD>)には、"fxpkcs11"というネストされたディレクトリが含まれています。

    このネストしたディレクトリ "fxpkcs11" の内容を <PKCS#11 Dir>ディレクトリに展開する必要があります。

  • ネストされたディレクトリ "fxpkcs11" には、 "x64" (64ビットOS用)および "x86" (32ビットOS用)というネストされたディレクトリが含まれます。

    該当するネストされたディレクトリ "x64" または "x86" の内容を <PKCS#11 Dir>ディレクトリに展開する必要があります。

4

FutureXベンダーから受け取った証明書をFutureX HSMクライアントワークステーションのディレクトリに転送します。

5

PKCS#11 マネージャで動作するようにHSMクライアントを準備します:

  1. LinuxベースのHSMクライアントで、OpenSSLパッケージをインストールします:

    • UbuntuとDebian Linuxでは、次を実行します:

      sudo apt-get install openssl

    • Red Hat Linux上で、次を実行します:

      sudo yum install openssl

  2. このFutureX PKCS #11 Libraryファイルが <PKCS#11 Dir>ディレクトリにあることを確認します:

    • Linux OSの場合:

      libfxpkcs11.so

    • Windows OSの場合:

      fxpkcs11.dll

  3. 設定ファイル fxpkcs11.cfgが該当するディレクトリにあることを確認します:

    • Linux OSの場合:

      このファイルを <PKCS#11 Dir>ディレクトリから /etc/ディレクトリに転送します。

      (コピーしたファイルは、/etc/ ディレクトリで編集する必要があります)。

    • Windows OSの場合:

      このファイルは、<PKCS#11 Dir> ディレクトリに保管してください。

  4. これらの設定はファイル fxpkcs11.cfgで行います:

    • <LOG-FILE>

      この属性にログファイルへのパスを設定します。

    • <ADDRESS>

      この属性にFutureX HSMサーバのIPアドレスを設定します。

    • <PROD-PORT>

      この属性にFutureX HSMサーバのポートを設定します。

      デフォルトのポート9100を使用することも、別のポートを設定することもできます。

      クラウドFutureX HSMを使用する場合は、FutureXサポートからポート番号を入手してください。

    その他の関連属性:

    • <PROD-TLS-CA>

      認証局証明書ファイルへのパスを含みます。

      この属性は複数回現れることがあります。

      CAチェーンのすべての証明書を置くことができます。

    • <PROD-TLS-CERT>

      クライアント証明書ファイルへのパス。

    • <PROD-TLS-KEY>

      クライアント秘密鍵ファイルへのパス。

6

PKCS#11ライブラリをテストします:

  1. 設定をテストするには、<PKCS#11 Dir> ディレクトリかconfigTestらツールを実行します。

  2. キーを管理するには、<PKCS#11 Dir> ディレクトリかPKCS11Managerらツールを実行します。

  3. ファイルのfxpkcs11.cfg 属性で設定したログファイルを<LOG-FILE>調べます。

重要 - 設定ファイルやPKCS #11ライブラリファイルの場所に問題がある場合は、以下の環境変数を設定できます:

  • FXPKCS11_CFGコンテナの設定ファイルへのフルパスを含みますfxpkcs11.cfg

  • FXPKCS11_MODULEPKCS #11ライブラリファイルのフルパスを指定します

環境変数を設定します:

  • Linux OSでは、このコマンドを使用します:

    export VARIABLE=VALUE

    例:

    export FXPKCS11_CFG=/home/user/fxpkcs11.cfg

  • Windows OSでは、このコマンドを使用します:

    set VARIABLE=VALUE

    例:

    set FXPKCS11_CFG=C:\Users\Futurex\Desktop\fxpkcs11.cfg

7

FutureX HSMクライアントワークステーションでのPKCS#11の設定についての詳細:

  1. FutureX portal にログインします。

  2. 以下に移動します:

    開発者向けドキュメント >

    一般向け >

    一般向けテクニカルレファレンス >

    PKCS #11テクニカルリファレンス

8

該当するFutureX CLI UtilityパッケージをFutureX HSMクライアントワークステーションに転送します。

  • Windows OSの場合:

    fxcl-hsm-windows-<BUILD>.zip

  • Red Hat Linux OSの場合:

    fxcl-hsm-redhat-<BUILD>.tar

  • UbuntuおよびDebian Linux OSの場合:

    fxcl-hsm-linux-<BUILD>.tar

  • macOSの場合:

    fxcl-hsm-mac-<BUILD>.tar

重要 - ファイルは必ずバイナリーモードで転送してください。

9

FutureX CLI Utilityパッケージの内容をFutureX HSMクライアントワークステーションのディレクトリに展開します。

以下の説明では、このディレクトリを次のように表示します:<CLI Dir>

重要:

  • FutureX CLI Utilityパッケージ(fxcl-hsm-<OS>-<BUILD>)には、"fxcl"というネストされたディレクトリが含まれています。

  • ネストされたディレクトリfxcl には、"x64" (64 ビット OS 用)および "x86" (32 ビット OS 用)というネストされたディレクトリが含まれます。

  • ネストされたディレクトリ x64と にx86は、"" OpenSSL-1.0.xと "" OpenSSL-1.1.xというネストされたディレクトリが含まれます。

    該当する入れ子ディレクトリ "OpenSSL-1.0.x" または "OpenSSL-1.1.x" の内容を<CLI Dir> ディレクトリに展開する必要があります。

    どのバージョンの OpenSSL を使用するかは管理者が決定します(詳細については、FutureX のベンダーにお問い合わせください)。

10

これらの証明書を FutureX HSM クライアントワークステーションの<CLI Dir> ディレクトリに転送します:

  • クライアント証明書 (<Client Certificate>表記)

  • CA 証明書 (<CA Certificate>表記)

11

FutureX HSM ClientとFutureX HSMサーバの接続を確立します:

  1. ディレクトリに移動します。<CLI Dir>

  2. シェルを起動します:

    fxcli-hsm

  3. 以下のコマンドを順番に実行します:

    tls pki -f <Client Certificate> -p safest

    tls ca -f <CA Certificate>

    connect tcp -c <IP Address of URL of HSM Server>:<Port on HSM Server>

    login user -u <Username> -p <Password (default is "safest")>

    exit

12

FutureX HSMクライアントワークステーションでこれらのツールを使用して、FutureX HSMサーバに保存されている鍵と証明書を管理できます:

  1. PKCS11Manager

    • ディレクトリからこのコマンドを実行します。<PKCS#11 Dir>

    • このツールは、鍵を作成したり、(鍵と証明書を格納する)HSM パーティションの内容を参照したりできます。

    • ツールのメニューに従って、利用可能なオプションを確認します。

  2. fxcli-hsm

    • <CLI Dir>ディレクトリからこのコマンドを実行します。

    • このシェルで使用可能なすべてのコマンドを表示するには次を実行します:help

    • このシェルでコマンドの利用可能なオプションをすべて表示するには、そのコマンドのみを実行するか、-h""オプションを指定してコマンドを実行します。
ステップ 手順

1

FutureX HSMクライアントワークステーションで、FutureX CLIユーティリティを開きます。

2

利用可能なスロットのリストを取得します。

以下のいずれかのコマンドを実行します。

keytable list

keytable reload

3

CA証明書のキーペアを生成します:

generate -a rsa -b 2048 --slot <Slot or Label of CA Certificate> --name <Name of CA Certificate Private Key File> --tpk-slot <Slot or Label of CA Certificate Public Key> --tpk-name <Name of CA Certificate Public Key File> -u sign,verify

例:

generate -a RSA -b 2048 --slot 0 --name CAPrivateKey --tpk-slot 1 --tpk-name CAPublicKey -u sign,verify

重要 - Check Pointセキュリティゲートウェイ / ClusterXL / Scalable Platformセキュリティグループが作成した偽の証明書のキーを上書きする可能性があるため、"... slot next" オプションは使用しないでください

4

CA証明書を生成します:

x509 sign --private-slot <Slot or Label of Private Key> --dn "<Distinguished Name of CA Certificate>" --ca 1 --key-usage DigitalSignature --key-usage CrlSign --key-usage KeyCertSign --save-slot <Slot to Save the CA Certificate> --save-name <Label of CA Certificate File> -o <Full Path and Name of CA Certificate File>.cer --validity-period '<Period>'

例:

x509 sign --private-slot 0 --dn "CN=www.futurexhsm.cp" --ca 1 --key-usage DigitalSignature --key-usage KeyCertSign --key-usage CrlSign --save-slot 2 --save-name CACert -o Z:\FutureXhsm.cer --validity-period '5 years'

重要 - Check Pointセキュリティゲートウェイ / ClusterXL / Scalable Platformセキュリティグループが作成した偽の証明書の鍵を上書きする可能性があるため、"... slot next" オプションは使用しないでください

5

CA証明書とCA証明書のキーペアに使用されているスロットのリストを取得します。

以下のいずれかのコマンドを実行します。

keytable list

keytable reload

- コマンド "keytable list" は、スロット番号にPKCS#11ハンドルを1つ加えたものを表示します。例えば、スロット0はハンドル1、スロット1はハンドル2というように表示されます。

6

ハンドルを書きます:

  • CA 証明書

  • CA 証明書公開鍵

  • CA 証明書秘密鍵

例:

CAPublicKey (1)

CAPrivateKey (2)

CACert (3)

重要 - Check Pointセキュリティゲートウェイ / ClusterXL / Scalable Platformセキュリティグループで $FWDIR/conf/hsm_configuration.Cファイルを構成するときは、これら3つのハンドルの番号を使用します。

このステップには4つのサブステップがあります。

重要:

ステップ 手順

1

SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。で、HTTPSインスペクションを設定します。

詳細はR82 Security Management Administration Guide> HTTPSインスペクションの章

2

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループで、$FWDIR/conf/hsm_configuration.C ファイルでHSMを無効にします。

  1. コマンドラインに接続します。

  2. エキスパート モードにログインします。

  3. ファイルを編集します:

    vi $FWDIR/conf/hsm_configuration.C

  4. パラメータ"enabled"の値"no"を設定します:

    :enabled ("no")

  5. ファイルの変更を保存してエディタを閉じます。

  6. Scalable Platform Security Groupで、更新されたファイルをすべてのSecurity Groupメンバにコピーします:

    asg_cp2blades $FWDIR/conf/hsm_configuration.C

3

SmartConsoleで、該当するAccess Control Policyをセキュリティゲートウェイ / ClusterXLオブジェクトにインストールします。

4

HTTPSインスペクションがHSMサーバなしで正しく機能することを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続します。

  2. 内部コンピュータのWebブラウザで、セキュリティゲートウェイ / ClusterXL / セキュリティグループから署名済みCA証明書を受信する必要があります。

重要:

  • クラスタで、同じ方法でクラスタ メンバを設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。
ステップ 手順

1

FutureX PKCS #11 バイナリファイルをセキュリティゲートウェイ /クラスタメンバ / Scalable Platform セキュリティグループに転送します:

  1. コンピュータでFutureX PKCS#11 Library パッケージを開きます。

  2. フォルダに移動します:

    fxpkcs11-linux-<BUILD>>fxpkcs11 >x86 >OpenSSL-1.1.x

  3. これらのファイルをセキュリティゲートウェイ /クラスタメンバ/ セキュリティグループに /usr/lib/hsm_client/ディレクトリに転送します:

    • libfxpkcs11.so

    • configTest

    Important- ファイルは必ずバイナリモードで転送します。

  4. Scalable Platform Security Groupでは、これらのファイルをすべてのSecurity Groupメンバにコピーする必要があります:

    asg_cp2blades /usr/lib/hsm_client/libfxpkcs11.so

    asg_cp2blades /usr/lib/hsm_client/configTest

2

FutureX PKCS #11 設定ファイルを セキュリティゲートウェイ /各クラスタメンバ / Scalable Platform Security Group に転送します:

  1. コンピュータでFutureX PKCS#11 Library パッケージを開きます。

  2. フォルダに移動します:

    fxpkcs11-linux-<BUILD>>fxpkcs11

  3. このファイルをセキュリティゲートウェイ/クラスタメンバ/Scalable Platform Security Group の /etc/ディレクトリに転送します:

    fxpkcs11.cfg

  4. Scalable Platformセキュリティグループでは、このファイルをすべてのセキュリティグループメンバにコピーする必要があります:

    asg_cp2blades /usr/lib/hsm_client/fxpkcs11.cfg

Check Pointセキュリティゲートウェイ(HSMクライアント)とFutureX HSMサーバ間の接続を確立するには、Check Point セキュリティゲートウェイとFutureX HSMサーバ間のTLS認証用の証明書ファイルを作成する必要があります。必要な証明書ファイルを作成するためのオプションを以下に示します:

  • HSMで証明書を作成する(最も一般的な方法)。

  • FutureXベンダーから証明書を入手します。

  • HSMサーバの "Anonymous" 設定を有効にして、相互認証が不要になるようにします(FutureX 統合ガイドを参照)。

重要:

  • クラスタで、同じ方法でクラスタ メンバを設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。
ステップ 手順

1

FutureXベンダーから受け取ったFutureX証明書ファイルを、セキュリティゲートウェイ /クラスタメンバ / Scalable Platform セキュリティグループの /usr/futurex/ディレクトリに転送します。

Scalable Platform Security Groupでは、これらの証明書ファイルをすべてのSecurity Groupメンバにコピーする必要があります:

asg_cp2blades /usr/futurex/<Name of Certificate File>

2

セキュリティゲートウェイ/各クラスタメンバ/セキュリティグループのコマンドラインに接続します。

3

エキスパート モードにログインします。

4

設定ファイル /etc/fxpkcs11.cfgをバックアップします:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v /etc/fxpkcs11.cfg{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v /etc/fxpkcs11.cfg{,_BKP}

5

/etc/fxpkcs11.cfg設定ファイル を編集します:

vi /etc/fxpkcs11.cfg

6

これらの属性値を設定します:

属性 属性値

<LOG-FILE>

/var/log/fxpkcs11.log

<ADDRESS>

FutureX HSMサーバのIPアドレス(またはURL)。

<PROD-PORT>

FutureX HSMサーバのポート。

デフォルトのポート 9100 を使用するか、別のポートを設定します。

<PROD-TLS-CA>

認証局証明書ファイルへのパス。

この属性は複数指定できます。

<PROD-TLS-CERT>

クライアント証明書ファイルへのパス。

<PROD-TLS-KEY>

クライアント秘密鍵ファイルへのパス。

7

ファイルの変更を保存してエディタを閉じます。

8

Scalable Platform Security Groupでは、更新されたファイルをすべてのSecurity Groupメンバにコピーする必要があります:

asg_cp2blades /etc/fxpkcs11.cfg

9

必要なシンボリックリンクを作成します:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    ln -s /var/log/fxpkcs11.log /tmp/fxpkcs11.log

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all ln -s /var/log/fxpkcs11.log /tmp/fxpkcs11.log

重要:

  • クラスタで、同じ方法でクラスタ メンバを設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。

注 -

  • HSM設定を初めて適用すると、HSM接続エラーが発生することがあります。

    最も一般的なシナリオは、複数のセキュリティゲートウェイ/クラスタメンバー/Scalable Platformセキュリティグループが同じHSMサーバを使用するように設定し、同時にアクセスする場合です。

    この場合:

    1. HSM接続に問題があるセキュリティゲートウェイ/クラスタメンバ/セキュリティグループで "fw fetch local" コマンドを実行します。

      VSX 環境では、問題のある VSX バーチャルシステムのコンテキストでこのコマンドを実行します。

    2. 画面に "HSM on" と表示されたら、次のセキュリティゲートウェイ、クラスタメンバ、セキュリティグループ、またはVSXバーチャルシステムの設定を続行します。

  • $FWDIR/conf/hsm_configuration.Cファイルを変更したら、以下のいずれかを行う必要があります:

    • "fw fetch local" コマンドを使用してローカルポリシーを取得します

    • SmartConsole で、ポリシーを セキュリティゲートウェイ / ClusterXL / VSX Virtual System オブジェクトにインストールします。

  • ローカルポリシーを取得するとき、またはSmartConsoleでポリシーをインストールするときに、HSMサーバが利用可能でない場合、HTTPSインスペクションは、送信HTTPSトラフィックを検査できません。その結果、セキュリティゲートウェイ / ClusterXL / VSX仮想システムの背後にある内部コンピュータがHTTPS Webサイトにアクセスできなくなります。

    加えて、セキュリティゲートウェイからHSMサーバへの通信を無効にする
ステップ 手順

1

セキュリティゲートウェイ/クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

2

エキスパート モードにログインします。

3

ファイルをバックアップします:$FWDIR/conf/hsm_configuration.C

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

4

$FWDIR/conf/hsm_configuration.Cファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

5

これらの属性に必要な値を設定します:

(

:enabled ("yes")

:hsm_vendor_name ("FutureX HSM")

:lib_filename ("")

:CA_cert_public_key_handle (<Number of "CAPublicKey" Handle for CA certificate>)

:CA_cert_private_key_handle (<Number of "CAPrivateKey" Handle for CA certificate>)

:CA_cert_buffer_handle (<Number of "CACert" Handle for CA certificate>)

:token_id ("<Password for Partition on FutureX HSM Server>")

)

 

注 -

  • ":enabled ()" 属性の値は、yes"" (HSMを有効にする)、またnoは"" (HSMを無効にする)のいずれかでなければなりません。

  • ":hsm_vendor_name ()"属性には、"FutureX HSM"という文字列を含める必要があります。

  • ":lib_filename ()" 属性には、セキュリティゲートウェイ/各ラスタメンバ/セキュリティグループ上のファイル (Fulibfxpkcs11.sotureX PKCS #11ライブラリ)へのフルパスを含める必要があります。

    このファイルがデフォルトのパスにない場合は、明示的にこのフルパスを設定する必要があります:/usr/lib/libfxpkcs11.so

  • ":CA_cert_<XXX> ()" 属性には、FutureX HSMサーバのkeytable "" コマンドの出力から必要なハンドルの値を指定する必要があります。

    参照: ステップ 2/3:FutureX HSMサーバでCA証明書を作成する

  • ":token_id ()" 属性には、FutureX HSMサーバ上のコンテナのパスワードを指定します。

例:

コピー 
(:enabled ("yes")
:hsm_vendor_name ("FutureX HSM")
:lib_filename ("")
:CA_cert_public_key_handle (1)
:CA_cert_private_key_handle (2)
:CA_cert_buffer_handle (3)
:token_id ("p@ssw0rd")
)

6

新しい設定を適用します。

  • ":hsm_vendor_name ()"属性の値を文字列 FutureX HSM"" に明示的に定義(または変更)した場合は、このコマンドを使用してすべてのCheck Pointサービスを再起動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cprestart

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cprestart

    重要 - これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックします。クラスタでは、これがフェイルオーバーの原因となります。

  • もし ":hsm_vendor_name ()" 属性の値がすでに文字列 "FutureX HSM" を含んでいたら、このコマンドでローカルポリシーをフェッチします:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      fw fetch local

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_fw fetch local

7

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループがHSMサーバに接続できること、および送信トラフィックでHTTPSインスペクションが正常に有効化されていることを確認します。

次のコマンドを実行します。

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat https_inspection -f all

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

  • HSM partition access (Accessible/Not Accessible): Accessible

  • Outbound status (HSM on/HSM off/HSM error): HSM on

詳細はこちら:CLIでHSMによるHTTPSインスペクションのモニタ

8

アウトバウンドトラフィックでHTTPSインスペクションが正常に有効になっていることを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続します。

  2. 内部コンピュータのWebブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

- Check Point Security Gateway / クラスタメンバ / セキュリティグループからFutureX HSMサーバへの接続に問題がある場合は、Security Gateway / クラスタメンバ / セキュリティグループに対して以下の手順を実行してください。

  1. /var/log/fxpkcs11.logファイルを確認します。

    このログファイルに根本原因が表示されない場合は、次のステップに進み、冗長ログを設定します。

  2. ログファイルにより多くの情報を見るために、これらのロギング設定を/etc/fxpkcs11.cfg行います:

    • LOG-TRAFFIC: YES

    • LOG-MODE: INFO

      or

      LOG-MODE: ERROR